+ Yorum Gönder
İnternet Sorunları ve Güvenlik Açıkları Forumunda Ağ Saldırı Tespit Sisteminin Önemi nedir Konusunu Okuyorsunuz..
  1. Harbi @ kız
    Bayan Üye

    Ağ Saldırı Tespit Sisteminin Önemi nedir









    Ağ Saldırı Tespit Sisteminin Önemi Hakkında Bilgi


    Her geçen gün bir sürü sistem saldırıya uğruyor. Bu saldırılardan bazıları ise maddi ve manevi kayıplara neden olmaktadır. Genel olarak bu saldırıların yapısı ve karakteristiği konusunda bir fikir ortaya atılamamaktadır. Bu durum saldırıların engellenmesi olasılığını da güçleştirmektedir
    .

    Saldırganlar bir sisteme saldıracakları zaman 2 genel yoldan birini benimseyebilir. İlk yol , bilgisi kısıtlı olan saldırganların tercih ettiği otomatize edilmiş araçlarla saldırıdır. İkinci yol ise uzman seviyesindeki saldırganların saldırdıkları hedefe göre değişebilen çeşitli yöntemler uygulaması sonucu oluşan saldırılardır.


    İlk tip saldırıları önlemek ikinci tip saldırılara göre daya kolaydır. Otomatize edilerek bu işleri yapan araçların çalışma mantıkları incelenir ve önlemler alınır ; ancak ikinci tip saldırılarda daha savunmasız kalınır. Çünkü belirgin bir hareket veya tarz yoktur, su gibi bardağın şeklini alabilen saldırganlar engellenebilirliği minimum seviyeye çekmektedirler.

    Bu durumda saldırı önleme yöntemleri de çeşitlilik ve heterojen bir görünüm kazanmıştır. Böylece yerel ağ ne kadar karmaşık olursa veya ne kadar bilinmedik yöntemler kullanılırsa saldırıların o kadar zor gerçekleşebileceği fikri oluşmuştur, büyük ölçüde doğru gibi görünmesine rağmen bir saldırganı durdurmak için kesinlikle yeterli değildir.
    Yerel ağı korumak amaçlı olan Firewall ve Anti-virüs gibi sistemler sadece ilk tip saldırganları engelleme imkanı sunmaktadırlar. Ancak günümüz Firewall'larının mimarilerinden kaynaklanan zayıflıklar, ayarlarından kaynaklanan hatalar , Firewall ile hiç alakası olmayan saldırıların Firewall tarafından önlenmesini beklemeler , Anti Virüsleri güncellemeyerek yeni virüslere davetiye çıkartmalar bu ilk tür saldırganların bile başarılı olabilmesine olanak tanımaktadır. Böylece güven hissiyle kahveler yudumlanırken saldırganlar sistemlerde rahatça gezebilir hale gelmektedirler.
    Korunmak için kurulan bu sistemlerin aslında saldırganları yavaşlattığını ve bu yavaşlama aşaması sırasında onları tespit edip yakalama imkanı sunduğu kabul edilerek güvenli olma yolunda ilk adımlar atılmış olabilir.

    Eğer bu sistemler saldırganları yavaşlatma amaçlı olarak kurulduysa düzenli olarak saldırı kayıtlarının incelenmesi de gerekmektedir. Bu durumda pasif olan Firewall ve Anti-Virüs sistemlerine ek olarak Saldırı Tespit Sistemleri de kurmak gereklidir. Böylece gerektiğinde aktif olabilecek bir savunma aracı da kazanılmış olur.

    Saldırı Tespit Sistemleri ile ağa yapılabilecek tüm saldırıları belirleme ve gerektiği durumda engelleme imkanı kazanılır.
    Düzenli olarak tuttukları kayıtlar incelenerek saldırganların neler yaptıkları ve hangi gruba dahil oldukları anlaşılabilir.
    Gerektiğinde kötü niyetli görülen isteklerin ağa girmesine izin verilmeyebilir.
    Bugün basitçe bir modem aracılığıyla internete bağlanan kullanıcıların sistemlerine bile girmek isteyenler varsa ve bu şekilde ki saldırılar yoğun olarak yaşanıyorsa kurumsal yapılara saldırmadığını düşünmek yanıltıcı olacaktır
    . En azından ücretsiz ve çok uğraştırmayan bir saldırı tespit sistemi kurularak şaşırtacak kadar fazla sayıda saldırı yakalanabilir.
    Saldırı Tespit Sistemlerinin İçerik Olarak Çalışma Şekilleri
    Saldırı tespit sistemleri içerik olarak 2 ayrı prensipte çalışmaktadırlar. İlk yapıda Anti-Virüs sistemlerinde olduğu gibi oluşturulmuş çeşitli imzalar ile paketleri incelemek ve saldırıları saptamak hedeflenmektedir. İkinci yapıda ise sistemlerin ve ağın işleyişi belirli bir düzenle özdeşleştirilmiştir , bu düzende olabilecek herhangi bir normal dışı hareket saldırının
    tanımlanmasını sağlamaktadır.

    İlk tür saldırı tespit sistemleri günümüzde yaygın olarak kullanılmaktadırlar. Belirlenen çeşitli kurallar çerçevesinde ağ üzerinde yakalanan paketleri inceleme şeklinde çalıştıkları için her saldırının izlerinin tanımlanmış olması gereklidir. Genelde bu tür sistemlerde saldırıların çokluğu , her saldırı varyasyonu için ayrı kurallar koyma işi bir miktar zorlaştırmaktadır. Ancak
    ticari yazılımlarda otomatik olarak internetten hergün yeni saldırı imzaları indirilebilmektedir. Ticari olmayan yazılımlarda da benzeri bir durum geçerlidir ; örneğin snort için hergün White Hats ve Snort sitelerinde yeni kurallar bulunmaktadır.

    İkinci tür saldırı tespit sistemlerinde ise durum bir miktar daha akla yatkındır. Ağda yada çeşitli sunucularda düzenli olarak yapılmakta olan işlemleri takip ederler ve farklı yada olağandışı hareketler gördüklerinde ise rapor ederler. Örneğin , IIS web sunucusuna gelen ziyaretçiler %99 index.html dosyasını çağırıyor ise cmd.exe dosyasını çağıran biri hemen farkedilebilir.

    Ancak gerçek durum örnekte anlatıldığı kadar da parlak değildir. Çünkü bu tür sistemlerin normal olarak nitelendirilebilecek hareketleri öğrenmeleri oldukça fazla zaman almaktadır. Ayrıca bu hareketlerin zaman içerisinde değişebilirliği , kurulduğu sistemlerin yeniden yapılandırılması veya ağa yeni sistemler eklemek işi daha da zorlaştırmaktadır.








  2. Acil

    Ağ Saldırı Tespit Sisteminin Önemi nedir isimli yazıya yorum yazın.





  3. Sponsor Bağlantılar
+ Yorum Gönder